Datenpanne

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) sowie das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) regeln den Umgang mit einer Datenpanne. Unternehmen müssen diese innerhalb von 72 Stunden und kirchliche Stellen unverzüglich ihren Aufsichtsbehörden melden. Dies gilt bei jeglicher Datenschutzverletzung, außer es bestehen nur geringe Risiken (Art. 33 DS-GVO bzw. § 32 DSG-EKD).

Beispiel hierfür: Der Verlust / Diebstahl eines korrekt verschlüsselten Notebooks mit ausreichendem Passwortschutz im ausgeschalteten Zustand.

Führt eine Datenpanne voraussichtlich zu einem hohen Risiko für Betroffene, dann sind diese zusätzlich über den Vorfall zu informieren. Die Idee dahinter ist: Wer weiß, dass er von einem solchen Vorfall betroffen ist, erkennt eher in der darauffolgenden Zeit, ob jemand seine Daten missbräuchlich verwendet.

Beispiel hierfür: Der Verlust / Diebstahl eines unverschlüsselten Notebooks ohne Passwortschutz im ein/ausgeschalteten Zustand, auf dem Gesundheitsdaten gespeichert sind.

 

Was ist eine Datenpanne?

Beispiele für eine Datenpanne sind:

  • Unbewusste/unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet
  • Hackerangriff, Schadsoftware, Phishing
  • Unbefugte erhalten Zugang zu Daten in einem geschlossenen System
  • Missbrauch von Zugriffsrechten
  • Unverschlüsselter E-Mail-Versand
  • E-Mail-Fehlleitungen

 

Was ist bei einer Datenpanne zu tun?

Sobald Unternehmen / Soziale Einrichtungen Kenntnis von Datenpannen erlangen, gilt es diese umfassend zu prüfen: Was ist passiert? Sind personenbezogene Daten betroffen? Welche Personengruppen sind betroffen? Wie viele Datensätze sind betroffen? Sind noch Gegenmaßnahmen möglich, um das Risiko zu reduzieren? Wie hoch ist das Risiko des Vorfalls und welche Auswirkungen sind zu erwarten (Identitätsdiebstahl, finanzielles Risiko, Imageschaden, existenzielle Probleme, Mobbing/Bloßstellung)? Ist die Aufsichtsbehörde zu informieren? Ist das Risiko so hoch, dass auch die Betroffenen selbst zu informieren sind?

Wie erfolgt die Meldung einer Datenpanne?

Für die Meldung von Datenpannen gibt es Meldeformulare auf den Webseiten der Aufsichtsbehörden. Die oben genannten Fragen orientieren sich am Aufbau der Meldeformulare. Wer den Sachverhalt sorgfältig aufbereitet, kann alle Fragen der Aufsichtsbehörden beantworten.

Vorbereitung und Sensibilisierung anhand eines Leitfadens kann für den Notfall helfen. 72 Stunden sind eine kurze Zeit und da viele Datenpannen an einem Freitag auftreten, ist schnell zu handeln. Nur dann können Ansprechpartner noch Fragen beantworten und sind noch nicht im Wochenende. Wenn ein Rädchen ins andere greift, ist eine zügige Aufklärung des Sachverhalts möglich.

Häufig werden wir gefragt: „Wenn ich Datenpannen bei der Aufsichtsbehörde melde, dann haben die mich doch auf ihrem Radar.“ Hier können wir beruhigt antworten: Wer seine Hausaufgaben macht und die Vorfälle sorgfältig aufbereitet, meldet und präventive Maßnahmen für die Zukunft trifft, der erfüllt seine gesetzlichen Verpflichtungen. Interessant sind Aussagen einzelner Aufsichtsbehörden: „Es ist eher verdächtig, wenn es von einem Unternehmen / Einrichtung keine Meldungen gibt. Im positiven Falle heißt das, dass die im Datenschutz richtig gut aufgestellt sind. Häufiger ist das Gegenteil der Fall. Die sind so schlecht aufgestellt, dass es keine funktionierenden Meldeprozesse gibt.“

Zur Risikobewertung bei Datenpannen fragen Sie Ihren Arzt oder Datenschutzbeauftragten. 🙂

Hilfreiche Links:

Vorgehensweise anhand eines fiktiven Praxisbeispiels

Formular des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zur Meldung einer Datenpanne

Formular des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland zur Meldung einer Datenpanne

Arbeitshilfe des Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland zum Umgang mit Datenpannen

Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten der Artikel-29-Datenschutzgruppe

Verfasser: Julian Häcker, 21.03.2020

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!